kubeadm으로 생성된 클라이언트 인증서는 1년 후에 만료된다. 이 메뉴얼을 통해 PKI 인증서를 관리해보자.
먼저 인증서가 저장되는 곳은 /etc/kubernetes/pki 이다.
기본적으로 kubeadm init 을 사용하여 클러스터 환경을 구성할 때, kubeadm은 자동적으로 인증서를 생성한다. 만약 자체 인증서를 가지고 싶다면 --cert-dir 플래그를 주거나 /etc/kubernetes/pki 에 넣어놔야 한다.
그러면 kubeadm init을 실행할 때, 지정된 공간에 인증서와 개인 키 상이 존재하면 덮어 쓰지 않고 지나가게 된다.
1. 인증서 만료 확인
check-expiration 명령을 사용하여 각 인증서 별 만료시기를 확인할 수 있다.
2. 자동 인증 갱신
kubeadm은 컨트롤 플레인 업그레이드를 진행하면 모든 인증서를 갱신한다. 인증서 갱신에 대해 원치 않는다면 --certificate-renewal=false 를 kubeadm upgrade apply || kubeadm upgrade node 를 실행할 때 같이 추가 명령어로 주면 된다.
3. 수동 인증 갱신
kubeadm certs renew 명령어를 사용하면 언제든지 인증서를 수동으로 갱신할 수 있다. 이 명령어를 실행한 후에는 컨트롤 플레인 파드를 재시작해야 한다.
장생농씬가?